Обзор Kaspersky SD-WAN 2.0, российского решения для защиты распределённых сетей и управления ими


Обзор Kaspersky SD-WAN 2.0, российского решения для защиты распределённых сетей и управления ими

«Лаборатория Касперского» представила новую версию Kaspersky SD-WAN — 2.0. Её ключевая особенность — почти неограниченное количество сетевых интерфейсов для подключения филиалов. Имеется возможность работать по нескольким высокоскоростным мобильным подключениям от разных операторов связи, предусмотрена интеграция с системами мониторинга и сертифицированными межсетевыми экранами, используемыми в инфраструктуре заказчика.

Сертификат AM Test Lab

Номер сертификата: 415

Дата выдачи: 17.05.2023

Срок действия: 17.05.2028

Реестр сертифицированных продуктов »

  1. Введение
  2. Функциональные возможности Kaspersky SD-WAN
  3. Архитектура Kaspersky SD-WAN
  4. Системные требования Kaspersky SD-WAN
  5. Сценарии использования Kaspersky SD-WAN
  6. Выводы

Введение

Первые упоминания о технологии SD-WAN в профильных изданиях появились около 10 лет назад. Затем в 2015 году аналитическая компания Gartner выпустила «Руководство по рынку SD-WAN», в котором предсказывала бурный рост применения таких решений в корпоративных инфраструктурах. Это определялось и по-прежнему определяется большим количеством факторов: увеличением количества филиалов, повышением требований к непрерывности сетевого взаимодействия, появлением различных способов подключения филиалов к дата-центрам компаний, внедрением пользовательских устройств (консьюмеризацией), отсутствием квалифицированного персонала на удалённых площадках. За прошедшие годы технология активно совершенствовалась, но по-прежнему считается «развивающейся». Это подтверждается тем, что в «магическом квадранте» Gartner за 2022 год описываются решения 15 компаний, не учитывая тех, кто по той или иной причине был исключён из рассмотрения, притом что в квадрат «Лидеры» попали сразу 6 фирм.

Технически SD-WAN представляет собой комплекс различных функциональных возможностей, которые уже существовали по отдельности, а в рамках решений по созданию программно определяемых распределённых сетей были объединены в целостный продукт. К ключевым возможностям SD-WAN можно отнести:

  • маршрутизацию, включая протоколы динамической маршрутизации, такие как BGP;
  • динамический выбор маршрута в зависимости от приложения, генерирующего трафик;
  • построение VPN;
  • базовый межсетевой экран;
  • автоматическую регистрацию и настройку оконечных клиентских устройств;
  • мониторинг каналов связи и оборудования;
  • поддержку как аппаратной, так и программной реализации решения.

На российском рынке технология SD-WAN также не является чем-то новым, большинство западных вендоров предлагали свои решения, однако теперь надо учитывать изменения, которые произошли за последние полтора года. Сейчас хорошую возможность найти дорогу к своему потребителю получили российские продукты. И здесь следует отметить, что «Лаборатория Касперского» выпустила хорошее, зрелое решение с перспективами дальнейшего развития.

Функциональные возможности Kaspersky SD-WAN

Функционально SD-WAN от «Лаборатории Касперского» предлагает большое количество возможностей, способных повысить качество работы конечных пользователей, а также облегчить жизнь администраторов, которые отвечают за подключение удалённых площадок и за обеспечение безопасности.

Так, единая панель управления оконечными устройствами (CPE и uCPE), шлюзами в ЦОДах и центральных офисах, а также различными виртуальными сетевыми функциями позволяет обеспечить непротиворечивость (консистентность) сетевых настроек в масштабе всей сетевой инфраструктуры. Администраторы как сети, так и безопасности могут быть уверены, что требуемые политики применены ко всем устройствам и необходимые изменения будут распространены по всей сети предприятия.

Для деятельности служб по эксплуатации, а также для проверки соблюдения соглашений о качестве (SLA) по каналам передачи данных со стороны поставщиков критически важной функцией является мониторинг параметров каналов (фазовое дрожание (джиттер), задержки, процент потерь) и их загрузки в режиме настоящего времени. Если заказчик использует канал с оплатой по объёму передаваемых данных, то эта функция поможет в сверке счетов за оказанные услуги.

Не секрет, что найти квалифицированных ИТ-специалистов в отдалённых регионах России очень трудно, поэтому многие заказчики уже сейчас интересуются функциональностью автоматического подключения и настройки нового устройства в сети компании (Zero-Touch Provisioning). В удалённом филиале сотрудник без технической подготовки просто подаёт на устройство питание и при необходимости подключает провода локальной и глобальной сетей передачи данных в обозначенные разъёмы. Дальнейшее подключение и настройка с применением политик происходят автоматически.

Для ситуаций, когда у заказчика отсутствует техническая возможность проводного подключения к интернету, в продуктовой линейке Kaspersky SD-WAN есть устройства со встроенными LTE-модемами.

 

Рисунок 1. Оконечное устройство для работы по LTE-сетям (KESR Model 1)

Оконечное устройство для работы по LTE-сетям (KESR Model 1)

 

Для служб ИБ будет полезной встроенная функциональность DPI, с помощью которой администратор может определить, какие приложения и сервисы потребляют сетевой трафик. На текущий момент решение позволяет определить более 300 приложений. С помощью этого инструмента можно настраивать политики маршрутизации сетевого трафика по конкретным приложениям, исходя из их требований и критической значимости для бизнеса.

Также система позволяет настроить динамическую маршрутизацию в зависимости от состояния и типов каналов связи. Например, для передачи большого объёма данных можно отправлять их по двум или более каналам связи, увеличивая таким образом доступную полосу пропускания. Для ситуации, когда у компании есть резервный, но дорогой канал связи, можно настроить такую политику, при которой его использование разрешалось бы только в случае значительного ухудшения характеристик основного канала или его отключения. При этом все операции по переключению будут осуществляться автоматически, не требуя оперативного участия технических специалистов компании.

Решение может помочь и в том случае, если доступны только каналы с невысоким качеством сервиса, так как имеет встроенные механизмы дублирования пакетов и поточной коррекции ошибок (FEC). В первом случае одни и те же пакеты отправляются одновременно по нескольким имеющимся каналам. Это позволяет повысить надёжность соединения для приложения. Если пакет потеряется в одном канале, то по другим каналам он всё равно будет доставлен. Во втором случае специальный алгоритм позволяет восстановить потерянный или повреждённый при передаче пакет. Специальное кодирование передаваемых пакетов данных вносит избыточность, позволяющую восстановить информацию без повторной пересылки пакета, что критически важно для приложений, которые работают в режиме настоящего времени.

Архитектура Kaspersky SD-WAN

Архитектурно решение состоит из следующих компонентов:

  • Портал администратора.
  • Оркестратор.
  • Контроллер SD-WAN.
  • Шлюз(ы) SD-WAN.
  • Каналы связи.
  • Оконечные устройства (CPE и uCPE).

Эти компоненты и их взаимодействия можно представить на следующей схеме.

 

Рисунок 2. Упрощённая архитектура решения Kaspersky SD-WAN

Упрощённая архитектура решения Kaspersky SD-WAN

 

Рассмотрим назначение этих компонентов.

Портал администратора — графическая консоль для управления системой, настройки политик и регистрации устройств, а также решения других задач, стоящих перед администратором.

Оркестратор управляет контроллерами SD-WAN, обеспечивает администрирование и настройку CPE, отвечает за мониторинг, диагностику сети и управление. Он объединяет в себе графический и прикладной программный интерфейсы для коммуникации с другими элементами решения. Также оркестратор обеспечивает управление лицензиями и контроль ресурсов, определяет параметры сервисных цепочек.

Контроллер SD-WAN отвечает за управление CPE и шлюзами SD-WAN, обмен информацией о маршрутах, построение топологии, настройку политик безопасности, определение параметров защиты для каналов передачи данных, а также за управление трафиком и добавление транспортных сервисов. Поставляется в виде Docker-контейнеров, которые могут устанавливаться на физические или виртуальные серверы. В качестве виртуальных платформ поддерживаются KVM и VMware. В зависимости от требований к отказоустойчивости инфраструктуры может быть развёрнут как единичный узел или как кластер по схеме «2N+1» из трёх узлов и более, каждый из которых может быть физически размещён на отдельном аппаратном сервере.

Шлюзы SD-WAN размещаются в ЦОДах или крупных офисах и обеспечивают передачу данных в рамках сети SD-WAN. Они могут быть реализованы как виртуальные машины, поставляемые в виде образов в формате QCOW2. Также в качестве шлюза SD-WAN может быть использовано и аппаратное устройство CPE / uCPE. Назначение устройству роли шлюза осуществляется в интерфейсе оркестратора. Каждое устройство (CPE или uCPE) строит туннель к шлюзу от каждого WAN-порта по протоколу Geneve. В результате шлюзы отвечают за связанность сетевой инфраструктуры всего решения. Для нужд отказоустойчивости SD-WAN шлюзы устанавливают как минимум парой. Рекомендуемая модель — «N+1».

Каналы связи необходимы для работы и предоставляются телеком-операторами. Могут использоваться как частные каналы, так и публичные, построенные с использованием различных технологий. Технически, SD-WAN может работать с LTE / 4G, Wi-Fi, MPLS, xDSL и другими каналами передачи данных, однако для подключения к некоторым типам каналов может потребоваться дополнительное сетевое оборудование, например модем ADSL.

Оконечные устройства представляют собой телекоммуникационное оборудование на базе процессоров x86, MIPS или ARM, предназначенное для подключения глобальных каналов связи к локальной сети филиала и построения туннелей к шлюзам SD-WAN.

CPE (Customer Premises Equipment) — сетевое оборудование, отвечающее за передачу трафика в инфраструктуре SD-WAN. «Лаборатория Касперского» выпускает свою линейку сетевого оборудования KESR для разных полос пропускания. Также CPE может быть развёрнуто как виртуальная машина в инфраструктуре заказчика.

uCPE (Universal CPE) — универсальное решение, которое может поставляться как мощное аппаратное устройство, где можно развернуть дополнительные компоненты (например, KESR Model 3 и старше) или как программное обеспечение, устанавливаемое на сервер стандартной архитектуры x86. Такое ПО включает в себя гипервизор (KVM) и менеджер виртуализации инфраструктуры (OpenStack). В зависимости от требований заказчика это может быть как Ubuntu, так и Astra Linux. Такой подход позволяет в дополнение к функциональности SD-WAN развернуть виртуальные сетевые функции (VNF). При необходимости и достаточности вычислительных ресурсов на uCPE можно развернуть дополнительные виртуальные машины, предоставляющие сторонний сервис, например ГОСТ-криптографию для шифрования трафика или сертифицированный межсетевой экран. Таких машин может быть несколько, и тогда администратор с помощью VNF сможет описать сервисную цепочку, по которой будет проходить обрабатываемый трафик. Для обычных CPE виртуальные сетевые функции и сервисные цепочки могут быть развёрнуты в ЦОДах.

Для работы с сервисными цепочками удобно использовать встроенный в решение графический конструктор с расширенными возможностями.

На CPE и uCPE установлен Zabbix-агент для сбора метрик по производительности, текущему состоянию каналов связи, их загруженности и т. д.

Архитектура решения в зависимости от требований заказчика позволяет построить полностью отказоустойчивую инфраструктуру, где будет зарезервирован каждый компонент.

При развёртывании решения Kaspersky SD-WAN дополнительно используются сторонние компоненты: система мониторинга Zabbix, платформа OpenStack и картографическое решение OpenStreetMap.

С точки зрения сетевой топологии решение можно использовать в режиме ячеистой сети с полной или частичной связанностью (Full Mesh / Partial Mesh), а также в режиме репликации с центральным узлом (Hub-and-Spoke).

Использование SD-WAN для подключения филиала можно представить на следующей схеме.

 

Рисунок 3. Подключение филиала с помощью устройства SD-WAN в режиме «точка-точка» (P2P)

Подключение филиала с помощью устройства SD-WAN в режиме «точка-точка» (P2P)

 

Лицензирование следует рассматривать как часть архитектуры, поскольку без выбора правильного режима лицензирования нельзя получить требуемую функциональность.

Для Kaspersky SD-WAN можно выбрать один из двух вариантов лицензирования — редакцию «Стандартная» (Standard) или «Расширенная» (Advanced). Основные различия между этими вариантами приведены в таблице.

 

Таблица 1. Сравнение вариантов лицензирования Kaspersky SD-WAN

Раздел

Функция

Редакция «Standard»

Редакция «Advanced»

Подключение и управление

Поддержка CPE производительностью до 10 Гбит/с

Да

Да

Управление из частного / публичного облака или локально

Да

Да

Поддержка топологий «Hub-and-Spoke», «Full Mesh», «Partial Mesh» 

Да

Да

SLA-политики для приложений

Да

Да

Динамическая маршрутизация (BGP)

Да

Да

Встроенный DPI

Да

Да

Сервисы SD-WAN

Zero-Touch Provisioning

Да

Да

Контроль качества каналов в настоящем времени

Да

Да

Оптимизация каналов (FEC и дупликация пакетов данных)

Да

Да

Поддержка сервисов P2P, P2M, L2 / L3 VPN

Да

Да

Поддержка встроенного высокоскоростного шифрования

Да

Да

Виртуальные сетевые функции (VNF)

Поддержка интеграции комплементарных продуктов Kaspersky

Да

Да

Реализация ETSI MANO

Нет

Да

Поддержка VNF сторонних производителей

Нет

Да

Управление жизненным циклом сервисных цепочек

Нет

Да

Поддержка uCPE

Нет

Да

Сервисы

Поддержка мультивещания

Нет

Да

Поддержка мультиарендности

Нет

Да

 

Таким образом, если вы планируете использовать uCPE и / или интегрировать в систему дополнительные сторонние компоненты, такие как межсетевые экраны, средства антивирусной защиты, дополнительной проверки трафика и т. д., вам для работы обязательно потребуется редакция «Advanced». Также эта редакция понадобится поставщику услуг или службе ИТ, которые обслуживают «изолированные» подразделения холдинга, для организации мультиарендной инфраструктуры.

Дополнительно устройства CPE лицензируются по требуемой полосе пропускания: 30, 50, 100, 300, 500, 1000 и 10000 Мбит/с.

При необходимости можно перейти с редакции «Standard» на редакцию «Advanced» (в рамках всего решения), а также увеличить требуемую полосу пропускания (для конкретного устройства).

Системные требования Kaspersky SD-WAN

Большинство компонентов системы поставляются как Docker-контейнеры и / или образы виртуальных машин для гипервизора KVM.

Аппаратные требования к оборудованию, на котором будет развёртываться решение, сильно зависят от планируемого размера инфраструктуры SD-WAN.

 

Таблица 2. Аппаратные требования к серверам или виртуальным машинам для развёртывания оркестратора

Устройства CPE

Ядра процессора

Оперативная память, ГБ

Дисковое пространство, ГБ

Сетевые адаптеры

Виртуальные машины

До 50

8

8

105

2

3

До 100

8

10

110

2

3

До 250

8

12

125

2

3

До 500

8

16

150

2

3

До 1000

10

24

200

2

3

До 5000

12

32

600

2

3

До 10000

16

64

1100

2

5

 

Таблица 3. Требования к серверам или ВМ для развёртывания других компонентов решения

Устройства CPE

Ядра процессора

Оперативная память, ГБ

Дисковое пространство, ГБ

Сетевые адаптеры

Контейнеры

Контроллер SD-WAN

До 50

4

8

40

2

3

До 100

6

8

40

2

3

До 250

8

16

40

2

3

До 500

8

16

40

2

6

До 1000

8

16

40

2

12

До 5000

8

16

40

2

60

До 10000

8

16

40

2

120

Менеджер виртуальных сетевых функций

До 50

4

8

20

2

3

До 100

4

8

20

2

3

До 250

4

8

20

2

3

До 500

4

8

20

2

3

До 1000

4

10

20

2

3

До 5000

4

12

20

2

3

До 10000

4

16

20

2

3

Система мониторинга Zabbix

До 50

4

8

100

2

3

До 100

4

10

200

2

3

До 250

6

12

350

2

3

До 500

8

24

600

2

3

До 1000

10

32

1100

2

3

До 5000

12

64

5100

2

3

До 10000

16

128

10100

2

3

 

Центральные компоненты системы необходимо разворачивать на одной из поддерживаемых 64-разрядных разновидностей Linux. «Лаборатория Касперского» рекомендует ОС Ubuntu 20.04. Также базой может быть сертифицированная ОС Astra Linux версии 1.7 («Орёл»).

Сторонние CPE должны соответствовать следующим требованиям:

  • стандартная архитектура процессора x86 или ARM;
  • не менее двух ядер процессора;
  • не менее 128 МБ оперативной памяти;
  • не менее одного LAN-интерфейса;
  • не менее двух WAN-интерфейсов.

Важно отметить, что для сторонних CPE может потребоваться установка дополнительных драйверов.

Решение поставляется в одном из двух вариантов: инсталляция полностью в инфраструктуре заказчика (on-premise) или система для поставщиков услуг, где конечному потребителю будет предоставляться отдельный логический блок (тенант) для организации «своей» инфраструктуры SD-WAN в рамках частного или публичного облака от операторов связи.

Сценарии использования Kaspersky SD-WAN

Для рассмотрения сценариев использования сначала надо определить, каким отраслям и каким заказчикам может быть интересно это решение.

В первую очередь это — крупные компании с большим количеством филиалов: розничные продажи, телекоммуникации, финансы и страхование, медицинские учреждения, федеральные и региональные органы власти. В этом случае SD-WAN в основном применяется для улучшения пользовательского опыта, обеспечивая сотрудников всеми необходимыми сетевыми службами и сервисами информационной безопасности.

 

Рисунок 4. Использование SD-WAN в распределённой корпоративной сети

Использование SD-WAN в распределённой корпоративной сети

 

Однако решение также будет интересно и тем компаниям, которым нужно обеспечить непрерывность подключения производственной площадки или конкретного экземпляра оборудования. Например, это могут быть АЗС или банкоматы, которые в настоящий момент невозможно подключить с помощью проводного соединения. Также возможна установка CPE с поддержкой мобильных сетей на транспортные средства.

 

Рисунок 5. Подключение банкомата к ЦОДу банка через двух сотовых операторов

Подключение банкомата к ЦОДу банка через двух сотовых операторов

 

Здесь основной фокус приходится на повышение сетевой связанности и отказоустойчивости подключённого к корпоративной сети оборудования, используемого в критически важных бизнес-процессах.

Выводы

«Лаборатория Касперского» продолжает активно развивать своё решение SD-WAN. Оно подходит как крупным компаниям с большим количеством филиалов, так и небольшим организациям, которым необходимо обеспечить гарантированное подключение своих удалённых площадок. Заказчики, которые раньше использовали продукты зарубежных вендоров, могут в большинстве случаев без проблем провести импортозамещение в своей инфраструктуре. При этом они снизят затраты на WAN-каналы и построение отказоустойчивой сетевой инфраструктуры, уменьшат сложность последней и упростят управление ею, а также повысят гибкость изменения сетевых соединений в зависимости от состояния каналов и требований приложений.

Учитывая размеры нашей страны, проблемы с качеством каналов в отдалённых регионах, а также высокие требования компаний к непрерывности ведения бизнеса, мы ожидаем, что Kaspersky SD-WAN 2.0 будет широко востребован российскими заказчиками.

Достоинства:

  • Интеграция с сертифицированными межсетевыми экранами российского производства, а также с продуктами по безопасности от «Лаборатории Касперского».
  • Возможность использования большого количества сетевых подключений для построения распределённых сетей.
  • Возможность развернуть решение полностью в инфраструктуре заказчика (on-premise).
  • Наличие в модельном ряду устройства с двумя встроенными LTE-модемами.
  • Автоматическая настройка оконечных устройств (CPE), контролируемая администратором.
  • Возможность использования Kaspersky SD-WAN как ключевого элемента инфраструктуры пограничных сервисов безопасного доступа (SASE).

Недостатки:

  • Отсутствие встроенного ГОСТ-шифрования (компенсируется возможностью интеграции со сторонними сертифицированными решениями).
  • Малое количество распознаваемых приложений.
  • Отсутствие функциональности по оптимизации прикладных протоколов и дедупликации трафика приложений.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.